Linux/Cdorked.A: Schwer entdeckbare Backdoor für Apache-Server
Backdoor auf hunderten Apache-Servern (Bild: Apache Software Foundation)

Linux/Cdorked.A Schwer entdeckbare Backdoor für Apache-Server

Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.

Anzeige

Linux/Cdorked.A ist eine Backdoor für Apache-Server, die von einem Administrator nur schwer entdeckt werden kann. Mitarbeiter der Firmen Eset und Sucuri haben bereits einen Teil der Backdoor analysiert. Cdorked greift Hostingsysteme an, die per cPanel konfiguriert werden. Die Analyse wird dabei durch verschiedene Mechanismen erschwert. Eset gibt etwa an, dass normale Apache-Logs keine Hinweise geben, dass das eigene System übernommen wurde. Auch Spuren auf dem Dateisystem hinterlässt die Schadsoftware kaum. Stattdessen wird vor allem ein 6 MByte großer Teil des Arbeitsspeichers für die laufende Konfiguration verwendet. Befehle bekommt die Schadsoftware über verschleierte HTTP-Requests.

Nur eine Datei wird manipuliert

Nur das httpd-Binary wird beim Angriff modifiziert, ohne dass das Dateidatum verändert würde. Zudem wird die Datei mit dem Immutable Bit versehen, um den Zugriff zu erschweren. Der Administrator muss über das chattr-Werkzeug erst einmal an die Datei kommen, um sie dann durch eine saubere Version zu ersetzen.

Auch die Analyse von außen wird erschwert. Pro Tag und IP-Adresse verändert der kompromittierte Webserver nur ein einziges Mal sein Verhalten. Dann wird ein Anwender, der die Webseite besucht, per Redirect umgeleitet. Damit kein weiterer Redirect durchgeführt wird, speichert der Webserver beim Besucher einen Cookie. Zudem leitet die Schadsoftware keine Admin-Zugriffe um. Will der Admin etwa auf seine Konfiguration schauen, wird ebenfalls ein Cookie gesetzt.

Bei erfolgter Umleitung findet sich der Besucher der ursprünglichen Webseite woanders wieder. Hier hören die Analysen der beiden Sicherheitsfirmen auf. Klar ist bisher nur, dass die neuen Ziele Blackhole Exploit Packs verwenden, um dann den Anwender zu infizieren. Mit solchen Kits werden in der Regel zahlreiche Sicherheitslücken angegriffen. Dabei sind nicht nur Java, Flash und PDF das Ziel, sondern häufig auch der Browser. Ist dieser veraltet und hat Sicherheitslücken, kann nicht ausgeschlossen werden, dass der Rechner des Anwenders beim Besuch eines solchen Redirects übernommen wird. Ein Virenscanner reicht als alleiniger Schutz häufig nicht aus.

Eset und Sucuri empfehlen allen Apache-Admins mit cPanel, ihre Server auf eine Infektion durch die sehr fortschrittliche Schadsoftware zu untersuchen. Die Analyse ist noch nicht abgeschlossen. Sowohl Eset als auch Sucuri stellen noch allerhand Vermutungen auf, was das Vorgehen der Schadsoftware angeht. Denkbar sind die Vermietung der Infrastruktur für Spamverteilung, die weitere Verbreitung von Schadsoftware oder auch Angriffe. Bisher ist zudem unklar, wie die Server überhaupt gehackt wurden. Eset und Sucuri gehen bisher nicht davon aus, dass eine Sicherheitslücke verwendet wurde.

Linux/Cdorked.A zeigt, welcher Aufwand mittlerweile betrieben wird, um an Rechner heranzukommen und gleichzeitig eine Entdeckung zu vermeiden. Die Software verdeutlicht zudem, dass der reguläre Netzbesucher das Ziel solcher Angriffe ist. Ciscos Security Report vom Februar 2013 nannte auf dem ersten Platz Angriffe über dynamische Inhalte und CDN-Systeme (18,3), dicht gefolgt von Angriffen über Werbung (16,8 Prozent). Spielewebseiten werden zu 6,5 Prozent für Angriffe verwendet und Onlineshops erreichen immerhin noch 3,6 Prozent. Webseiten mit illegalen Softwareangeboten sind für Kriminelle kaum noch von Interesse.

Nachtrag vom 28. April 2013, 16:04 Uhr

Der Debian-Entwickler Adrian Glaubitz machte uns darauf aufmerksam, dass eine Kontrolle bei Distributionen mit signierten Paketen beispielsweise leicht über das Werkzeug debsums durchgeführt werden kann. Manipulierte Apache-Installationen sollten so einfach aufzuspüren sein. Außerdem hat Eset ein eigenes Tool veröffentlicht.


Anonymer Nutzer 30. Apr 2013

Darum prüft man so etwas von einer vertrauenswürdigen Maschine aus, mit zur Version...

rkr 30. Apr 2013

Kann es sein, dass das Script unter Ubuntu Server 12.04 immer anschlaegt?

elgooG 29. Apr 2013

Vor allem das "Nur eine Datei wird manipuliert" finde ich schon etwas dreist. Ja klar, es...

silentburn 29. Apr 2013

danke fürs mitteilen

Poison Nuke 28. Apr 2013

da es sich laut Meldung bisher scheinbar nur um cPanel Server handelt, scheint es über...

Kommentieren



Anzeige

  1. Senior Betriebs-System Engineer (m/w)
    DATAGROUP Köln GmbH, Frankfurt am Main
  2. Senior Manager of ICT Services EMEA (m/w)
    Bosch Communication Center Magdeburg GmbH, Magdeburg
  3. Spezialist/-in für Datenverkabelungen und Multimedia für Schulen
    Landeshauptstadt Stuttgart, Stuttgart
  4. Junior Data Scientist / Analyst im Bereich Datenmanagement (m/w)
    Institut des Bewertungsausschusses, Berlin

 

Detailsuche


Folgen Sie uns
       


  1. Displays und Kameras

    Für die Pixelzähler

  2. Norton Security

    Symantec bestätigt Ende von Norton Antivirus

  3. Streaming

    Adam Sandler produziert vier Filme nur für Netflix

  4. Googles nächstes Smartphone

    Neue Details zum kommenden Nexus 6

  5. Freisprecheinrichtung

    Erst iOS 8.1 soll Bluetooth-Probleme im Auto lösen

  6. Toughbook CF-LX3

    Panasonics leichtes Notebook mit der Lizenz zum Runterfallen

  7. Honda Connect

    Nvidias Tegra fährt mit Android in Japan

  8. Smartphones

    Sonys Xperia Z3 und Xperia Z3 Compact sind da

  9. Pavlok

    Gewollte Stromschläge vom Fitness-Wearable

  10. Apple

    iOS hat noch immer WLAN-Probleme



Haben wir etwas übersehen?

E-Mail an news@golem.de



Mittelerde Mordors Schatten: 6 GByte VRAM für scharfe Ultra-Texturen notwendig
Mittelerde Mordors Schatten
6 GByte VRAM für scharfe Ultra-Texturen notwendig
  1. Mordors Schatten Zerstörte Ork-Karrieren in Mittelerde

In eigener Sache: Golem.de sucht Videoredakteur/-in
In eigener Sache
Golem.de sucht Videoredakteur/-in

Rochester Cloak: Tarnkappe aus vier Linsen
Rochester Cloak
Tarnkappe aus vier Linsen
  1. Roboter Transformer aus Papier

    •  / 
    Zum Artikel